Zero Trust Packet Routingの概要
Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR)は、セキュリティ属性を割り当てるOCIリソース用に記述したインテントベースのセキュリティ・ポリシーによって、機密データを不正アクセスから保護します。セキュリティ属性は、ZPRがOCIリソースの識別と編成に使用するラベルです。ZPRは、ネットワークアーキテクチャーの変更や構成の誤りに関係なく、アクセスが要求されるたびにネットワークレベルでポリシーを適用します。
ZPRは、既存のネットワーク・セキュリティ・グループ(NSG)およびセキュリティ制御リスト(SCL)ルールの上に構築されます。パケットがターゲットに到達するには、すべてのNSGおよびSCLルールおよびZPRポリシーを渡す必要があります。NSG、SCLまたはZPRのルールまたはポリシーでトラフィックが許可されない場合、リクエストは削除されます。
Zero Trust Packet Routing (ZPR)では、次の3つのステップでネットワークを保護できます。
- セキュリティ属性ネームスペースおよびセキュリティ属性の作成と管理
- セキュリティ属性を使用してリソースへのアクセスを制御するポリシーの記述
- 指定したリソースへのセキュリティ属性の適用
Oracle Cloud Infrastructure Console、APIまたはCLIを使用してクラウド・リソースに説明、タグ、セキュリティ属性またはフレンドリ名を割り当てる場合、機密情報を入力しないでください。
Zero Trust Packet Routingの動作
Zero Trust Packet Routing (ZPR)では、セキュリティ属性ネームスペースを作成して、データベースやコンピュート・インスタンスなど、保護するリソースに割り当てるセキュリティ属性を編成できます。次に、セキュリティ属性を使用して、Zero Trust Packet Routing Policy Language (ZPL)を使用してZPRポリシーを作成し、これらのリソースにアクセスできるユーザーとそのデータの移動先に関するセキュリティ・インテントを示します。ポリシー・エンジンは、ポリシー強制ポイントで適用される適切なルールにインテントをコンパイルします。
たとえば、顧客は機密データを不正アクセスや外部からの保護を求めています。顧客は、データベースに格納されている機密データにSensitiveセキュリティ属性を適用し、フロントエンド・アプリケーションにTrustedセキュリティ属性を適用します。お客様は、不正アクセスからデータを保護するZPRポリシーを記述します。
Allow Trusted hosts to send-receive Sensitive data over internal networks.ZPRでは、適切なTrustedセキュリティ属性を持つクライアントのみがZPRポリシーに従ってSensitiveセキュリティ属性を持つデータにアクセスできるように、ZPRポリシーがネットワーク・レベルで強制されます。
クライアントがアプリケーションサーバーに対して要求を行うと、ZPRはネットワークパケットのセキュリティー属性をチェックします。パケットがネットワークを経由すると、サービスはソースと宛先の両方のセキュリティ属性をZPRポリシーと照合してチェックし、リクエストをブロックするか、ZPRポリシーに基づいてリクエストを許可します。
ゼロトラストパケットルーティングの概念
Zero Trust Packet Routing (ZPR)サービスを理解するには、次の概念が重要です。
- セキュリティ属性
- サポートされるリソースへのアクセスを制御するためにZPRポリシーで参照できるラベル。
- セキュリティ属性ネームスペース
- 一連のセキュリティ属性のコンテナ。
- ZPRポリシー
- セキュリティ属性で識別される特定のエンドポイント間の通信を制御するルール。
- ZPRポリシー言語(ZPL)
- セキュリティ属性を評価してデータ・ソース間の認可データ・フローを定義する言語。
認証と認可
Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)で、認証および認可のためにIAMと統合されます。
組織の管理者は、グループ、コンパートメントおよびポリシーを設定して、どのユーザーがどのサービスおよびリソースにアクセスできるかと、そのアクセス権のタイプを制御する必要があります。たとえば、ポリシーは、新しいユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、クラウド・アイデンティティに使用するドキュメントを参照してください。
- Zero Trust Packet RoutingのIAMポリシーの記述の詳細は、ゼロ・トラスト・パケット・ルーティングIAMポリシーを参照してください。
- 他のサービスのポリシー記述の詳細は、IAMポリシー・リファレンスを参照してください。
管理者ではないが、会社所有のOracle Cloud Infrastructureリソースを使用する必要がある場合は、管理者に連絡してください。管理者は、ユーザーが使用する1つ以上のコンパートメントを承認できます。
ゼロトラストパケットルーティングにアクセスする方法
ゼロ・トラスト・パケット・ルーティング(ZPR)には、コンソール(ブラウザベースのインタフェース)、コマンドライン・インタフェース(CLI)またはREST APIを使用してアクセスできます。コンソール、CLIおよびAPIに関する手順は、このガイド全体のトピックに記載されています。
コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページの上部にあるナビゲーション・メニューを開き、「Oracle Cloudコンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。
使用可能なSDKのリストは、SDKおよびCLIを参照してください。APIの使用に関する一般情報は、REST APIのドキュメントを参照してください。
制限
セキュリティ属性のリソースごとの制限、およびセキュリティ属性文字列でサポートされている文字について学習します。
- テナンシ当たりのセキュリティ属性: 無制限
- VCN当たりのセキュリティ属性: 1
- リソース当たりのセキュリティ属性(VCN以外): 3
- セキュリティ属性キーの事前定義済値の数: リスト当たり100
- ポリシー・オブジェクト当たりの文: 50
- テナンシ当たりのデフォルト・ポリシー・オブジェクト: 100
- テナンシ当たりのステートメント(すべてのポリシー・オブジェクト): 1000
| リソース | サポートされている文字 | 最大長 |
|---|---|---|
| セキュリティ属性ネームスペース | ピリオド(.)と空白を除く印刷可能なASCII
|
100文字 |
|
セキュリティ属性 |
ピリオド(.)と空白を除く印刷可能なASCII
|
100文字 |
|
セキュリティ属性値 |
有効なASCIIまたはUnicode文字。値の解決文字(ピリオドまたはスペース)がある場合は、文字を一重引用符(')で囲む必要があります | 255文字 |
セキュリティー属性を割り当てることができるリソース
次の表に、Zero Trust Packet Routing (ZPR)セキュリティ属性をサポートするリソースを示します。セキュリティ属性サポートが他のリソースに追加されると、この表が更新されます。
| サービス | リソースのタイプ |
|---|---|
| Compute |
インスタンス インスタンス構成 |
| データベース |
autonomous-databases クラウド自律型vmclusters cloud-vmclusters データベース db-systems exadb-vm-clusters |
| ネットワーキング |
vcns vnic PrivateEndpoint |
| ネットワーク・ロード・バランサ | ネットワーク・ロード・バランサ |
ZPRとIAMの違い
Zero Trust Packet Routing (ZPR)ポリシーは、既存のOCI IAMポリシーと共存し、より完全なセキュリティ体制を提供します。
ZPRポリシーとIAMポリシーは、次の点で異なります。
- ZPRポリシーは、テナンシ内のコンピュート・インスタンスとデータベース間の接続を定義するネットワーク・セキュリティ・グループ(NSG)およびセキュリティ・リストと同様のネットワーク・レイヤー(L4)制御です。
- IAMポリシーは、アプリケーション・レベル(L7)のポリシー言語であり、ネットワーク・レイヤー接続が確立された後に、特定の権限を使用してどのプリンシパル(グループまたはリソース・プリンシパル)がどのOCIリソースにアクセスできるかを制御します。
ZPRポリシーとIAMポリシーの最大の違いは、ZPRポリシーが接続のネットワークの側面、つまり、ソースとターゲット(コンピュートまたはデータベース)、IPアドレス、プロトコルおよびポートのセキュリティ属性に対処することです。ZPRポリシーは、プリンシパル、OCIリソース・タイプまたは権限を理解または評価しません。
たとえば、OCI認可を使用して、ユーザーがOCIコンソールにサインイン(またはCLIまたはSDKを使用)する既存のデータベース・インスタンスを削除する場合は、OCIリソース(データベース)を削除するコマンドを発行します。この時点で、OCI IAMポリシーを使用して、ユーザーにIAMポリシーに基づいてそのアクションを実行する権限があるかどうかを判断します。
IAMポリシーとZPRポリシーの両方が重要であり、両方を使用してより完全なセキュリティ体制を提供できます。
ZPRと他のセキュリティ方法の違い
セキュリティ・リストでは、セキュリティ・ルールのセットを定義して、VCNの単一のVCNまたはサブネット内のすべてのリソースに適用できます。コンピュート・インスタンスまたはその他のリソースは、接続に使用しているサブネットまたはVCNに対して所定のルールをオプトインまたはオプトアウトできません。セキュリティ・リストの詳細は、セキュリティ・リストを参照してください。
ネットワーク・セキュリティ・グループ(NSG)では、セキュリティ・ルールのセットを定義して、VCN内の選択した仮想ネットワーク・インタフェース・カード(VNIC)のグループに適用できます。VNICは異なるサブネット内に存在し、サブネット内の一部のVNICはセキュリティーリストのみを使用でき、他はセキュリティーリストとNSGの両方を使用できます。NSGは、セキュリティ・リストと同じ構造でルールを使用します。VNICは、コンソールのVNICの管理詳細ページからNSGに参加または終了するように設定できますが、コンソールのNSGの管理ページからVNICを追加または削除することはできません。NSGの詳細は、ネットワーク・セキュリティ・グループを参照してください。セキュリティ・リストとNSGの詳細な比較については、セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照してください。
ZPRポリシーでは、セキュリティ・ルールのセットを定義して、単一のVCN内のすべてであるとは限らない幅広いリソースに適用できるため、セキュリティ状態がネットワークの構造にさらに関連しなくなります。考えられるルールは、より詳細で複雑なものにでき、NSGおよびセキュリティ・リストで使用される構造を共有しません。ZPRポリシーを使用するようにリソースを設定するには、コンソールの保護されたリソース・ページからセキュリティ属性を追加します。または、コンソールのZPRポリシーの詳細ページでリソースを追加または削除できます。
| セキュリティ・メソッド | への適用 | 有効化または無効化 | 制限 |
|---|---|---|---|
| セキュリティ・リスト | サブネットまたはVCN内のすべてのVNIC | 使用できません。 | サブネット当たり最大5つのセキュリティ・リスト |
| ネットワーク・セキュリティ・グループ | VCN内の選択済VNIC | VNICの詳細ページから | VNIC当たり最大5つのNSG |
| Zero Trust Packet Routing | 1つ以上のVCN内の選択したリソース(VNICおよびその他のリソース・タイプ) | リソースに適用されるセキュリティ属性 | リソース当たり最大3つのZPRセキュリティ属性 |
ZPRポリシーを使用すると、セキュリティ属性をVNICまたは次の項目を参照するZPRポリシーを管理および定義するその他のリソースに直接適用できます。
- セキュリティ属性
- リクエストを行うホスト
- リクエストが移動しているネットワーク
- アクションが許可されているかどうか
ポリシーで許可されていないトラフィックは、ネットワーク上で移動できません。セキュリティ属性を適用したリソースは、それを参照するZPRポリシーの対象となります。リソースには最大3つのセキュリティ属性を設定できます。
ZPRではより詳細なセキュリティ要件を定義できるため、ZPRの使用をお薦めします。詳細は、If You Use Zero Trust Packet Routing with Other Security Methodsを参照してください。
NSGに対するZPRの利点
- セキュリティ・リストまたはNSGは複数のVCNに適用できませんが、ZPRポリシーは複数のVCNに同じセキュリティ属性を適用することで、複数のVCNに適用できます。
- NSGを管理するときに、NSGにリソース(エンドポイントまたはVNICを使用する)を追加することはできません。これは、ZPRポリシーを使用して実行できます。
- ZPRポリシーは、セキュリティ・リストまたはNSGで使用されるセキュリティ・ルールよりも複雑になる場合があります。
- ZPRポリシーおよびセキュリティー属性は、ネットワークアーキテクチャーとネットワークセキュリティーを分離します。つまり、ネットワーク・アーキテクチャを変更する必要がある場合(たとえば、新しいアプリケーションを追加する場合)、ネットワーク・セキュリティを低下させるリスクはありません。
その他のセキュリティー方式でゼロトラストパケットルーティングを使用する場合
VNICまたはエンドポイントには、通信を許可するVCNまたはサブネットのセキュリティ・リスト・ルールが必要です。NSGは、VCN内の任意の場所で、選択したリソースのセキュリティ・リスト・ルールの上にさらにルールを追加できます。ZPRポリシーは、セキュリティ・リストとNSGルールの両方の上に階層化することも、セキュリティ・リストのみにZPRポリシーを追加することもできます。
次の図は、このアイデアを示しています。
NSGおよびセキュリティ・リストとともにZPRを使用する場合、特定のリソースに適用されるルールのセットには次の項目が含まれます。
- Zero Trust Packet Routingポリシー
- リソースのVNICが属するすべてのNSGのセキュリティ・ルール
- セキュリティ・リスト: VCNまたはサブネット内のすべてのVNICまたはエンドポイントに関連するルール(すべてのVNICまたはエンドポイントには、少なくとも1つの関連するセキュリティ・リストがあります)